昨天,Mozilla announced的BrowserID authentication system,根据Verified Email Protocol。它看起来非常漂亮,但它是否安全?BrowserID是否安全?
立即想到的一个问题是,似乎任何人都可以访问我的浏览器可以登录为我。这也是将证书存储在浏览器中的一个问题,除了我可以在逐个站点的基础上做出决定。是BrowserID的全部还是全无?
是否还有其他潜在的安全缺陷?
这不是直接回答你的问题,但线程在“安全”堆栈交换场地,其中讨论了差不多
有用的链接,谢谢! –
我终于找到了Daniel促成第三Q & A在BrowserId/Persona and WebID。我发现这个答案最有帮助。 (我试图说服他,张贴在这里,但他建议我这样做的。)
Security, Privacy and Usability Requirements for Federated Identity由迈克尔·哈克特和寇霍基提供WebID和Mozilla的Persona,这在当时仍被称为之间的比较BROWSERID。
被注意的是,(表1中)的主要区别是:
我建议您阅读纸张了解更多详情。它可以在线免费获取,不需要数字图书馆访问。
我猜实际的实现会弹出一个请求的权限来做一个browserID登录,然后发送加密的令牌。 –
@Marc B对,但它应该是一个双击过程。如果我的理解正确,那么您不会在该弹出框中输入凭据 - 只需验证您是否要使用特定的电子邮件地址登录到特定的目标网站即可。 –
Firefox允许您使用主密码保护常规存储的密码,该密码用于保护用于加密密码的加密密钥。我会认为类似的东西会适用于BrowserID。 – Neil